(Не)безопасность пластиковых карт всегда была темой тёплой, но с распространением карт бесконтактных переросла в настоящую фобию — не хуже фобии ГМО, «телефонов-убийц», выжигающего мозги Wi-Fi и тому аналогичного. В случае если внезапно вы не слышали, многие и весьма многие уверены, что бесконтактный «пластик», которым так легко оплатить приобретение в магазине (совершил рядом с терминалом — и готово! Пин-код вводить не нужно), так же легко отдаёт деньги и «злобным хакерам». Популярная пресса подогревает истерию, не вдаваясь в подробности. Ужасные истории сменяют одна другую: в случае если пара лет назад этим забавлялись исследователи на security-конференциях, сейчас уже настоящие преступники, якобы, опустошают «кошельки» в публичном транспорте, легко проходя рядом с жертвами. Что в том месте, пару дней назад промелькнуло сообщение об устройстве для «мелкосерийного» клонирования бесконтактных карт — аж по 15 штук в секунду!
При всём наряду с этим у здравомыслящих людей болтается где-то идея, что всё это — как раз беспричинная фобия, паранойя (карты на рынке уже полтора десятилетия, а финиш света так и не наступил). Но дабы подозрение подтвердить, нужно углубиться в технические вопросы, на что времени неизменно не достаточно. Так давайте сделаем это совместно.
Бесконтактные карты бывают различными, отнюдь не только банковскими: для удостоверения личности, проезда в публичном транспорте и т.п. Но то, что лежит в бумажниках большинства (а также россиян) — это кредитные либо дебетовые банковские карты, произведённые с опорой на стандарт ISO/IEC 14443. Стандарт данный предполагает применение в качестве канала связи протокола NFC (цифровой радиообмен на частоте 13.56 МГц). Приёмник лишён источника питания и трудится за счёт энергии, наводимой в антенне, запрятанной в карты же. Этого хватает, дабы принять и передать некий маленький количество информации. NFC — медленный протокол (десятки килобайт в секунду), но в этом случае большое количество и не нужно. Карты VISA payWave, MasterCard PayPass и отечественная «Мир» трудятся как раз так.
А основная неприятность бесконтактного «пластика» не в разработках, а в поверхностном понимании принципа их работы. Стараясь максимально уменьшить обывателям адаптацию к новому продукту, маркетологи втолковали им, что совершить пластиковой картой с магнитной полосой по считывающему устройству и сделать бесконтактный «клик» по светло синий-терминалу — это одно да и то же. Так что люди, в особенности в государствах, где культура пользования «пластиком» насчитывает много лет (магнитный стрип — детище 70-х), не видят функциональной отличия в это же время и вторым. И рассуждают приблизительно так: раньше карту необходимо было дотянуться из бумажника, сейчас же преступник может рядом со мной и, кроме того не касаясь, похитить с моей кредитки все данные!
Что ж, частично это и в действительности так, но только частично. Вы также имеете возможность попытаться себя в роли для того чтобы «высокотехнологичного вора». Для этого не будет необходимо ничего паять а также брать нелегальный карт-ридер. Достаточно современного смартфона с помощью NFC. Установите любое из бессчётных приложений для чтения NFC-меток (NFC Basic, Banking Card Reader и др.), приложите карту к телефону, и — вуаля, эти «похищены». Тонкость в том, что это за эти.
В открытом виде бесконтактные банковские карты хранят только номер, дату экспирации, реже имя пользователя и историю транзакций. Формально этого уже достаточно, дабы воспользоваться вашей картой без вашего ведома, к примеру, для приобретения чего-нибудь через интернет: не все веб-магазины требуют CVV-код, размещённый на обороте карты (но не записываемый в память). Так что — да, это предлог для тревоги.
Но вот «клонировать» карту полноценно (записать данные на чистую карту-болванку и применять её в простых магазинах без ограничений), что обещают продавцы устройств наподобие упоминавшегося нелегального скоростного карт-ридера (всего-то за $800!), так не удастся. Из-за чего? По причине того, что каждая офлайновая транзакция предполагает общение между, грубо говоря, чипом карты и кассовым аппаратом, причём на любой таковой сеанс чип генерирует одноразовый ключ с применением стойкого крипто. Дабы клонировать вашу карту, нужно вытащить из неё криптоключи — а сделать это через NFC нереально.
Настоящих способов эксплуатировать бесконтактную карту всего два. Во-первых, преступник может обзавестись собственным PoS-терминалом с помощью бесконтактных карт. Запрятав таковой в сумке, он и правда может ходить по людным местам и инициировать приобретения, в то время, когда рядом выясняется чья-то карта. Но вычислить имя мошенника при таких условиях будет очень просто (все терминалы регистрируются в органах), да и размер бесконтактной транзакции, не требующей пин-кода, ограничен некоей маленькой суммой (в Российской Федерации это порядка одной тысячи рублей).
Во-вторых, преступник может применять схему ретрансляции радиосигнала — воспользовавшись опытом «сотрудников», угоняющих так машины. Тут потребуются два вспомогательных NFC-устройства. Первое должно пребывать рядом с картой жертвы, второе — в месте совершения приобретения, скажем, рядом с кассой в магазине. В качестве таких устройств смогут выступать, к примеру, смартфоны, поддерживающие NFC. Касса инициирует продажу, второй смартфон показывает NFC-сигнал на первый, тот передаёт его карте, и по той же цепочке информация возвращается обратно. Жертва ничего не увидела, а приобретение совершена. Сложности, но, очевидны. Нужен особый софт, которого до тех пор пока, как известно, не существует (поправка, благодарю читателям: в лабораторных условиях уже реализовали). Плюс опять-таки размер транзакции ограничен.
Кстати: мобильные кошельки (Apple Pay, Android Pay, Samsung Pay) проблеме бесконтактных краж не подвержены — по той несложной причине, что виртуальная карта отвечает на запросы считывающего устройства лишь в то время, когда это необходимо пользователю, а в другое время молчит.
Что в итоге? Клонировать бесконтактную карту нереально. Похитить с неё, пребывав рядом, возможно только малого сумму. Так что истории про несчастных, «утративших тысячи долларов одновременно, не извлекая карту из кармана», или выдумки, или заблуждения (возможно, карта была скомпрометирована в противном случае).
Единственной настоящей угрозой остаётся использование номера и похищение карты его для несанкционированных приобретений через Сеть. Риск в действительности мал: преступник обязан подобраться к вам через чур близко, плюс в развитых государствах банк обязан отменить такую транзакцию по первому требованию, а сумму компенсировать. В Российской Федерации закон до тех пор пока этого не требует (исправьте, в случае если уже не так), так что в случае если вас гложет беспокойство, воспользуйтесь ветхой хорошей клеткой Фарадея: храните бесконтактные карты в кармашке из алюминиевой фольги. Но лучше — поразмыслите о замене карты мобильным приложением: электронные кошельки, хранящие аналоги банковских карт, проблеме бесконтактных краж не подвержены вовсе.